SAP Home goes rogue – Angriffsszenarien über die SAP GUI, die verhindert werden können

SAST Blog: SAP Home goes rogue - Angriffsszenarien über die SAP GUI, die verhindert werden könnenIm Regelfall werden Unternehmensnetzwerke durch menschliche Fehler infiziert. Mitarbeiter klicken auf einen gefälschten Link, teilen ihr Passwort versehentlich Dritten mit oder öffnen eine Datei, die ungeahnten Schadcode enthält. Bei Angriffsszenarien über die SAP GUI ist dem Mitarbeiter häufig kein Vorwurf zu machen, denn ein falsch konfiguriertes SAP-System reicht aus, um die IT-Landschaft schädigen zu können.

So läuft ein Proof-of-Concept-Angriff:

Mit einem PoC-Hack – beispielsweise durch Aufrufen eines präparierten PDFs – können der Windows UserName und die Passwort-Hashes ganz einfach ausgelesen werden. Sind die Passwort-Hashes erst einmal lokalisiert, lassen sich mit ihnen auf einfachste Weise das reale Passwort des Windows-Users herausfinden. Veröffentlicht wurde der Bad-PDF-Hack erstmals im Mai 2018 und auf der Gulaschprogrammiernacht des Chaos Computer Clubs, in 2019 dann öffentlich vorgestellt.

Bis heute haben nicht alle Clients einen Bugfix dazu erhalten und das können Angreifer bei Angriffsszenarien über die SAP-GUI ausnutzen. Das Bild des Easy Access-Menüs, das jedem SAP-Benutzer beim Login präsentiert wird, kann durch andere Dateien ersetzt werden. Der SAP-Benutzer hat dann keine Wahl, ob er die Datei angezeigt haben möchte oder nicht – mit weitreichenden Folgen.

Der Angriff funktioniert auf allen SAP-Systemen, auch in S/4HANA-Umgebungen. Er kann auf einem Entwicklungssystem durchgeführt und dann über das Transportmanagement bis in beliebige Produktionssysteme gebracht werden. Dazu sind auf dem Produktionssystem keinerlei weiteren Berechtigungen notwendig. Voraussetzung ist lediglich ein Zugriff auf die Transaktionen SMW0 und SM30 – ein Standard auf allen Entwicklungssystemen.

  1. Schritt: Generierung einer präparierten PDF-Datei mit dem Pythoncode aus dem Github Repository.

SAST Blog: SAP Home goes rogue - Angriffsszenarien über die SAP GUI, die verhindert werden können

  1. Schritt: Kopieren des PDFs auf den lokalen Computer und Anmeldung am SAP-System.
  1. Schritt: Start der Transaktion SMW0. Das präparierte PDF wird mit dem MIME-Type application/pdf hochgeladen. Dabei genügt es, dieses lokal abzulegen.

SAST Blog: SAP Home goes rogue - Angriffsszenarien über die SAP GUI, die verhindert werden können

  1. Schritt: Im Anschluss an den PDF-Upload erfolgt die Einbindung der Startseite des Easy Access Menüs. Dies geschieht mittels der Transaktion SM30 und der Tabelle SSM_CUST. Der Parameter START_IMAGE wird auf das hochgeladene PDF gesetzt.

SAST Blog: SAP Home goes rogue - Angriffsszenarien über die SAP GUI, die verhindert werden können

  1. Schritt: Durch den gesetzten Parameter versucht die SAP GUI nun das PDF bei jedem Login eines SAP-Users anzuzeigen. Dabei bleibt der Vorgang an sich für den Anwender unsichtbar.

Im Access Menü sollte auf der rechten Seite eigentlich das PDF erscheinen. Da dies jedoch nicht gelingt, bleibt die Seite einfach weiß.

SAST Blog: SAP Home goes rogue - Angriffsszenarien über die SAP GUI, die verhindert werden können

  1. Schritt: Alleine der Versuch, das PDF auszuführen, führt für den Angreifer schon zum gewünschten Ergebnis: Der Windows-User und der Passwort-Hash werden übertragen. Dabei versucht die SAP GUI sogar mehrfach das PDF anzuzeigen.

Wie können Sie Ihre SAP-Systeme vor Angriffsszenarien über SAP GUI schützen?

Der einzige umfassende Schutz ist es, die Tabelle SSM_CUST lückenlos auf Änderungen zu überwachen. Eine solche Überwachung kann beispielsweise durch den SAST Security Radar gewährleistet und so unverzüglich an die in Ihrem Unternehmen zuständigen Stellen gemeldet werden.

SAST Blog: SAP Home goes rogue - Angriffsszenarien über die SAP GUI, die verhindert werden können

Der SAST Security Radar hilft Ihnen, im Ernstfall in Echtzeit reagieren zu können, überwacht unter anderem Änderungsbelege Ihrer Tabellen und wertet diese auf Kritikalität aus. Dabei fallen auch geänderte Tabellen auf.

Informieren Sie sich gerne auf unserer SAST SOLUTIONS Website oder melden Sie sich bei uns.

Markus Rest (SAST SOLUTIONS)
Markus Rest (SAST-SUITE Development)

Disclaimer:

Das gezeigte Beispiel dient ausschließlich Demonstrationszwecken und sollte, wenn überhaupt, nur in gesicherten Umgebungen nachvollzogen werden. Für Schäden, die aus der Anwendung der Informationen entstehen können, übernimmt AKQUINET keine Haftung.

 

Weitere Themen über die IT-Sicherheit:

Die wichtigsten Bausteine einer Cybersecurity-Strategie

Mit dem Internet of Things die Echtzeitüberwachung für IT-Sicherheit neu denken